Sécurité et VPN : WebVPN / SSL VPN

Le trafic sans client de VPN SSL ASA au-dessus de l'exemple de configuration de tunnel entre réseaux locaux d'IPsec

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment se connecter à une appliance de sécurité adaptable Cisco (ASA) SSLVPN sans client portaile et accéder à un serveur qui se trouve dans un site distant connecté au-dessus d'un tunnel entre réseaux locaux d'IPsec.

Contribué par des ingénieurs de Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

Composants utilisés

Les informations dans ce document sont basées sur la gamme 5500-X ASA qui exécutent la version 9.2(1), mais elle s'applique à toutes les versions ASA.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Assurez-vous que vous comprenez l'impact potentiel de n'importe quelle commande avant que vous apportiez des modifications sur un réseau vivant.

Informations générales 

Quand le trafic d'une session sans client SSLVPN traverse un tunnel entre réseaux locaux, notez qu'il y a deux connexions :

  • Du client à l'ASA
  • De l'ASA à la destination host.

Pour la connexion d'hôte d'ASA-à-destination, l'adresse IP de l'interface ASA « la plus proche » de la destination host est utilisée. Par conséquent, le trafic intéressant d'entre réseaux locaux doit inclure une identité de proxy de cette adresse d'interface au réseau distant.

Remarque:  Si l'Intelligent-tunnel est utilisé pour un signet, l'adresse IP de l'interface ASA la plus proche de la destination est encore utilisée. 

Configurez

Dans ce diagramme, il y a un tunnel entre réseaux locaux entre deux ASA qui permet au trafic pour passer de 192.168.10.x à 192.168.20.x.

La liste d'accès qui détermine le trafic intéressant pour ce tunnel :

ASA1

access-list l2l-list extended permit ip 192.168.10.0 255.255.255.0 192.168.20.0
255.255.255.0

ASA2

access-list l2l-list extended permit ip 192.168.20.0 255.255.255.0 192.168.10.0
255.255.255.0

  

Si les essais sans client d'utilisateur SSLVPN à communiquer avec un hôte sur le réseau 192.168.20.x, ASA1 utilise l'adresse de 209.165.200.225 comme source pour ce trafic. Puisque la liste de contrôle d'accès d'entre réseaux locaux (ACL) ne contient pas 209.168.200.225 comme identité de proxy, le trafic n'est pas envoyé au-dessus du tunnel entre réseaux locaux.

Afin d'envoyer le trafic au-dessus du tunnel entre réseaux locaux, un nouvel entrée de contrôle d'accès (ACE) doit être ajouté à l'ACL du trafic intéressant.

ASA1

access-list l2l-list extended permit ip host 209.165.200.225 192.168.20.0
255.255.255.0

ASA2

access-list l2l-list extended permit ip 192.168.20.0 255.255.255.0 host
209.165.200.225

Ce même principe s'applique aux configurations où le trafic sans client SSLVPN a besoin de demi-tour la même interface qu'il est entrée en fonction, même si on ne le cense pas passer par un tunnel entre réseaux locaux.

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Typiquement, ASA2 conduit la translation d'adresses d'adresse du port (PAT) pour les 192.168.20.0/24 afin de fournir l'accès Internet. Dans ce cas, trafiquez alors de 192.168.20.0/24 sur ASA 2 devrait être exclu du processus de PAT quand elle va à 209.165.200.225. Autrement, la réponse ne passerait pas par le tunnel entre réseaux locaux. Exemple :   

ASA2

nat (inside,outside) source static obj-192.168.20.0 obj-
192.168.20.0 destination
static obj-209.165.200.225 obj-209.165.200.225
!
object network obj-192.168.20.0
nat (inside,outside) dynamic interface

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser une analyse de sortie de commande show.

  • le crypto ipsec d'exposition SA-vérifient avec cette commande qu'une association de sécurité (SA) entre l'IP address du proxy ASA1 et le réseau distant a été créée. Vérifiez si les compteurs chiffrés et déchiffrés augmentent quand les accès client sans client SSLVPN qui serveur.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Si l'association de sécurité n'est pas établie, vous pouvez utiliser IPsec mettant au point à la cause de la panne :

  •  <level> de debug crypto ipsec

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.



Document ID: 117739